サンバースト・バックドア検出：FireEyeと米国機関へのSolarWindsサプライチェーン攻撃

この情報に関する数日後、 FireEyeのデータ侵害 が明らかになった後、同社は調査結果とSunburstバックドアの詳細（ 技術報告書 and 対策を含む）を発表し、これによりAPTグループが複数の組織のネットワークに侵入し、現在、潜在的に危険な企業がこの脅威を迅速に検出できるようになっています。発見されたサプライチェーン攻撃の規模は本当に印象的です：国家支援のグループがSolarWinds Inc.を妥協し、米国の軍と政府機関、さらに米国のFortune 500の425以上の企業で使用されているOrionITソフトウェアの更新をトロイの木馬化しました。攻撃者は春、更新をデジタル署名し、SolarWindsの更新ウェブサイトに投稿しました、それは世界中の多くの企業を妥協することに至りました（SolarWindsの製品は世界中の30万以上の顧客により使用されています）。

CISAが 緊急指令 を発表し、SolarWinds Orionネットワーク管理製品に関する危険な脅威を警告しました。これにより、公的および民間部門の多数の組織のネットワークが危険にさらされる可能性があります。

Sunburstバックドアの分析と検出内容

Sunburstバックドアは SolarWinds.Orion.Core.BusinessLayer.dllに隠れています。システムに侵入後、バックドアは最大2週間待機し、その後有害な活動を開始します。バックドアはファイルの転送および実行、システムのプロファイリング、システムサービスの無効化、マシンの再起動を行うことができます。SunburstバックドアはOrion改善プログラムプロトコルを利用し、収集したデータを正当なプラグイン構成ファイルに保存するため、組織のネットワーク上でのマルウェア活動の検出が非常に困難です。

私たちのSOC Primeチームは、Threat Bounty Programの開発者と協力し、GitHubでFireEyeによって公開されたSunburst対策に基づくSigmaルールをリリースし、Sunburstバックドアとこの攻撃に関連するツールを検出します。この記事とルールのリストは更新される予定です。 私たちのブログ をフォローし、Sunburstバックドアと関連する脅威の検出のための最新のルールを入手するためにThreat Detection Marketplaceを確認してください。

現在利用可能なルールのリストはこちらです：